Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Saturday, October 15, 2011

Rootkit.Agent?

svchost (1344) Versuch, Datei "H:\winxp\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" für den Lesezugriff zu öffnen, ist mit Systemfehler 3 (0x00000003): "Das System kann den angegebenen Pfad nicht finden. " fehlgeschlagen. Fehler -1023 (0xfffffc01) beim Öffnen von Dateien.
Source
Herzlich Willkommen hier bei uns am HijackThis Supportboard!

**Bevor du mit Teil 1. der Aufgabe beginnst: HIER KLICKEN UND SORGFÄLTIG DURCHLESEN!**
Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Bitte lese Dir zuerst in Ruhe die Anweisungen durch und Du sollst dabei die Reihenfolge einhalten! Ansonsten verlangsamt unsere Arbeit, wenn wir immer wieder noch an Kleinigkeiten nachschlagen müssen und dadurch eventuell die Übersicht verloren geht...
Grundsätzlich muss ein infiziertes System als kompromittiert gelten, und man kann nie ganz sicher sein, dass man alle Folgen der Infektion beseitigen konnte. - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest:
Können wir versuchen dein PC von Viren zu befreien, aber nur "bis zu einem gewissen Punkt", wo dein System technisch auch noch einwandfrei funktioniert
1.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • Also lade dir Gmer von *dieser Seite* oder von hier majorgeeks.com/gmer.zip - runter und entpacke es auf deinen Desktop.
  • "Show all" soll nicht angehakt sein!
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • ►Sollte sich ein Fenster mit folgender Warnung öffnen:
    Code:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system?
  • Unbedingt auf "No" klicken
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
  • Füge das Log aus der Zwischenablage [Strg+ V] (oder Umschalt+Einfg) in deine Antwort hier ein.
Wichtig: während des Scan-Vorgangs sollen:
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein - ►Klicken Sie auf der Taskleiste im Infobereich (Der Bereich in der Taskleiste rechts neben den Schaltflächen der Taskleiste. Im Infobereich wird die Uhrzeit angezeigt. Außerdem kann dieser Bereich Verknüpfungen für einen schnellen Zugriff auf Programme enthalten.) mit der rechten Maustaste auf das entsprechende Programmsymbol für das Firewall-, Antispyware- oder Antivirenprogramm, und klicken Sie dann auf Beenden oder Deaktivieren.
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
Scanner wieder einschalten, bevor Du ins Netz gehst!
Das Tool "Gmer" bitte nur EINMAL ausführen! Bei Probleme keine weitere Versuch, sondern mit Punkt 2 fort fahren!
Anleitung:-> Rootkit-Scanner Anleitungen

WENN GMER NICHT AUSGEFÜHRT WERDEN KANN, weiter mit:
2.
Lade und installiere das Tool RootRepeal herunter
  • setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
  • "Stealth Objects" -> "Scan"-> Save Report"...
  • "Hidden Services" -> "Scan"-> Save Report"...
  • speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread
3.
Zunächst bitte folgende Einstellungen vornehmen: System-Dateien und -Ordner unter XP, Vista und Win7 sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!
4.
  • Download den CCleaner
  • bei der Installation mitlesen - ("Füge CCleaner Yahoo! Toolbar hinzu" - abwählen!)-> starten -> Falls nötig, unter Options settings -> "german" einstellen.
  • starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
  • ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)
5.
Lass diese datei(en) bei virustotal überprüfen :
Code:
Lass bitte folgende Dateien bei VirusTotal auswerten: :
C:\Users\Dee\AppData\Local\Temp\ncddr2.exe
wenn das ergebnis vorliegt, den kleinen button "filter" drücken, dann das ergebnis ( egal wie es aussieht, mittels copy&paste mit inklusive Dateigröße und Name, MD5 und SHA1 hier posten *Beispiel*)
Also gehe wie hier beschrieben vor:
  • Öffne diese Webseite: virustotal
  • Klicke auf "Durchsuchen"
  • Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
  • "Senden der Datei"
  • Warte, bis der Scandurchlauf aller Virenscanner beendet ist
  • Auf "Filter" klicken
  • dann auf "Ergebnisse"
  • das Ergebnis (wie Du es bekommst) markieren und hier rein kopieren
Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:
Code:
Datei  empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.28 -
AhnLab-V3 5.0.0.2 2009.01.28 -
AntiVir 7.9.0.60 2009.01.28 -
Authentium 5.1.0.4 2009.01.27 -

...über 40 Virenscannern...also Geduld!!
1.
System-Dateien und -Ordner unter XP und Vista sichtbar machen


2.
Suchen einer Datei oder eines Ordners
Falls bei der Analyse sich herausstellt,dass die Dateien schädlich sind,lösche noch nicht,weil können unter Umständen dazu führen, dass das System nicht mehr sauber läuft
Bitte alle Ergebnisse im Code-Tags posten!

vor dein log schreibst du:[code]
hier kommt dein logfile rein
dahinter:[/code]
-----------------------
Bitte den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems
kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
Keine Up und Downloads, ausser auf Security Seiten.
****Ehemöglichst nicht ins internet gehen
Mehr Information hierzu unter System-Sicherheit

-----------------------
gruß
argos

No comments: